KVKK Uzmanı Yasin Zengin, veri ihlaline karşı alınabilecek teknik tedbirleri örneklerle anlattı.
Bunlardan ilkinin şifre ve parola güvenliği olduğunu söyleyen Yasin Zengin, “İlgili kişiler kendi güvenliğini sağlamak konusunda yeterince bilgili olmayabilirler. Bu hususu veri sorumluları yönlendirmeleri lazım. Bir örnek olayda; bir telekom operatötü bayisinde çalışan bir kişi bayi yetkilisinin şifresini elde ediyor. Bu elde ettiği şifreyle beraber her yerde sisteme girerek binlerce kişinin kişisel verilerini elde ediyor. Bu elde ettiği kayıtları yasa dışı bahis sitelerinde kullanılmak üzere ilgili kişilere satıyor. Bu şifre ve parola güvenliğine yeterince önem verilmesi lazım. Parola güvenliğinde mümkünse çift faktörlü kimlik doğrulma ve hesaba girildiğinde uyaran sistemler bulunursa kişisel verilerin ihlali büyük ölçüde önlenebilir” diyerek sözlerine şöyle devam etti:
“Bir diğer önemli teknik tedbir ise, yetki matrisi ve kontrolü. Veri sorumlularında bu durum çok büyük bir önem arz ediyor. Şöyle ki; o verilerle hiçbir ilgisi olmayan çalışanların o verilere erişimi olduğu taktirde bir veri ihlali meydana geliyor ve veriler hiç ilgisi olmayan kişilerin eline geçebiliyor.”
Diğer bir teknik tedbirin sızma testi olduğunu belirten Zengin, “Sızma testi proaktif bir önlemdir. İşletme körlüğünün azaltılmasında çok etkili bir yöntemdir. Örnek verecek olursak; bir giyim alışveriş sitesi kendi sızma testini kendi içerisinde gerçekleştirerek eksiklikleri tam olarak bulamıyor veya eksikliklerinin çok önemli olmadığını düşünüyor. Sonrasında bir veri ihlali gerçekleşiyor. Bu sızma testini dışarıdan yaptırdığı takdirde sistemlerinde, mobil uygulamalarında birçok zafiyetin olduğu ortaya çıkıyor” ifadelerini kullandı.
Saldırı tespit ve önleme sistemlerinin de bu konuda önemli olduğuna değinen Zengin, “Çalışanlar durumun farkında olamayabiliyorlar. İlgili kişilerin verileri üzerinde kontrol sahibi olamayabiliyorlar. Bu saldırıları tespit eden sistemlerin dizayn edilmesi çok önemli. Çoğu zaman veri sorumluları sistemlerine bir saldırı olduğunu, sistemi hackleyen kişiler tarafından veya üçüncü kişiler tarafından öğrenmektedirler” şeklinde konuştu.
Veri kaybı ve sızıntısı önleme sistemlerinin de önemine vurgu yapan Zengin, bu konuyu şu örnekle açıkladı:
“Bir banka çalışanı verileri toplayıp, üçüncü bir kişiye pazarlıyor. Bu veri ihlali aylarca sürüyor. Herhangi bir veri sızıntısı önleme sitemi olmadığı için bu yapılan girişimler tespit edilemiyor. Ancak verileri alan üçüncü kişinin şikayeti ile ortaya çıkıyor.”
Yedeklemenin de bir teknik tedbir olduğunu aktaran Zengin, bu konuya ilişkin şu örnekte bulundu:
“Bir veri sorumlusunda bulunan kişisel veriler o ilin müdürünün laptop’unda yedeklenmekte. O il müdürü bir gün alışverişe çıktığında laptop’unu arabada bırakıyor ve laptop çalınıyor. İşlenen veriler sadece o il müdüründe. Veri sorumlusunda herhangi bir yedeği bulunmuyor. İlgili kişilerin verileri kayboluyor. Gerekli bildirimler yapılamıyor.”
Her türden veriyi, özellikle kredi kartı verilerini maskelemek gerektiğini dile getiren Zengin, ayrıca her uygulama ve anti-virüs sistemlerinin güncel olması, zamanında güncellenmesi ve uygunluğunun kontrol edilmesi gerektiğini söyledi.
VİDEO: 473
BAŞLIK: Veri İhlaline Karşı Alınabilecek Teknik Tedbirler
KONUŞMACI: Yasin Zengin – KVKK Uzmanı
ETKİNLİK: 3. e-Safe Kişisel Verileri Koruma Zirvesi
TARİH: 12 Kasım 2020, Perşembe
YER: Kişisel Verileri Koruma Kurumu – Ankara
